[mod_perl] Sicheres Konzept von Verzeichnissen (mod_perl und Apache)

[thread]11882[/thread]

[mod_perl] Sicheres Konzept von Verzeichnissen

Reader: 1

GwenDragon

2008-05-22 17:59

User since
2005-01-17
8643 articles
User Admin

Ich will hier mal was zur Diskussion stellen.

Es gibt bei mod_php die Möglivchkeit, User nur auf ihre in der (Server-,VHost-, php-ini)-Konfiguration angegebenen Verzeichnisse zu beschränken. Das geschieht bspw. mit open_basedir

Bei mod_perl existiert wohl kein solches Konzept und deswegen können per mod_perl aufgerufenen Skripte überall Verzeichnisse lesen.

Jedenfalls finde ich nichts in der mod_perl-doku oder habe ich Kamele auf den Augen?

Welche Erfahrungen und Wurgarounds habt ihr da.

Gruß
GwenDragon
Drachin, Perl-Adeptin und Zauberin des Zwischennetzes

GwenDragon

2008-05-24 11:42

User since
2005-01-17
8643 articles
User Admin

Ja, schön wäre es.
Kein Wunder, das ich das MPM im Manual überlas.
Das Modul ist exprimentell, unfertig, und deswegen nicht auf einem Produktivsystem sinnvoll.

Quote
This module is not functional. Development of this module is not complete and is not currently active. Do not use perchild unless you are a programmer willing to help fix it.

http://httpd.apache.org/docs/2.0/mod/perchild.html

Laut Felix Schwarz und sonstigen Googeln (lang zu suchen) gibt es noch:
Metux MPM (kein aktueller Link; Wiki ist nur noch SPAM dort)
Peruser MPM
MPM ITK

http://mitka.us/articles/mpm-itk/

Allerdings ist es so, dass peruser-mpm auch (immer noch) experimentell udn nicht für Produktivsysteme ist.
Sowie bei mpm-itk der ganze Apache neu kompiliert werden muss.
Schlecht für einen Produktivserver.

mod_perl ist sehr schön, aber warum hinkt es da so nach, was Multiuserumgebungen auf Servern anbelangt?

Gruß
GwenDragon
Drachin, Perl-Adeptin und Zauberin des Zwischennetzes

RPerl

2008-05-23 17:25

User since
2006-11-26
384 articles
BenutzerIn

user image

Die Rechte des Benutzers auf der Systemebene eingrenzen waere z.B. eine.

GwenDragon

2008-05-23 20:02

User since
2005-01-17
8643 articles
User Admin

RPerl+2008-05-23 15:25:41--
Die Rechte des Benutzers auf der Systemebene eingrenzen waere

Wie meinst du das genau?

Gruß
GwenDragon
Drachin, Perl-Adeptin und Zauberin des Zwischennetzes

topeg

2008-05-23 21:26

User since
2006-07-10
2107 articles
BenutzerIn

user image

Wenn die Userrechte des Apache nicht ausreichen um außerhalb seiner Verzeichnisse zu zu greifen kann das Script das auch nicht.

Direkt zu mod_perl wüßte ich nichts.
Ansonsten gäbe es noch mod_suexec, was aber nicht mit mod_perl zusammen arbeitet
und natürlich mod_fastcgi, das ist aber auch ein anderer Ansatz.

Dann gäbe es wohl noch das:
http://httpd.apache.org/docs/2.0/mod/perchild.html
Das sollte auch mit mod_perl zusammenarbeiten, aber reif für die Nutzung scheint es nicht zu sein.

betterworld

2008-05-24 14:37

User since
2003-08-21
2367 articles
ModeratorIn

Genau wie bei mod_php ist es ja bei mod_perl so, dass der ganze Code mit denselben Benutzerrechten, ja sogar im selben Prozess (bzw. denselben Prozessen) läuft. Da eine Rechteverwaltung einzubauen finde ich eigentlich nicht so ein schönes Konzept, weil man da praktisch die ganze Rechteverwaltung des Betriebssystems umgeht und noch einmal nachbaut.

Aber vielleicht kann man ja mit CPAN:

Safe irgend etwas bauen...

To my continued amazement, the Perl folks are the only ones who never get upset. They just say "Haha, yeah, boy, you're right, it sure is ugly. Heh. Yeah, so, um, anyway, I'm going to get back to work now..." It's awesome. I've gained so much respect for them. src

guest Gast

2008-05-24 16:40

mod_mpm_itk ist bei Debian schon dabei

GwenDragon

2008-05-24 16:59

User since
2005-01-17
8643 articles
User Admin

Habe aber CentOS.

Gruß
GwenDragon
Drachin, Perl-Adeptin und Zauberin des Zwischennetzes

View all threads created 2008-05-22.